個人ガイドへの業務委託は個人情報の委託に該当します。JIS Q 15001では委託先が個人の場合も自社と同等の保護水準を求めていますが、選定基準はリスクに応じて柔軟に設定可能です。実績の確認やデータ削除の合意、簡易的なチェックリストの活用により、Pマーク審査にも対応する適切な評価基準を解説します。
プライバシーマーク全般
このサイトは、ISM Web store の公式サポートブログです。
プライバシーマークに関する体制構築から運用に関する質問と回答です。
Pマーク(JIS Q 15001)運用において推進会議の設置は必須ではありません。規格では報告・連絡・相談の実施が重要視されており、組織規模に応じた柔軟な運用が可能です。少人数の場合は実態に即したルールへの変更が推奨されます。自社に最適なPMS運用のポイントを解説します。
個人情報保護責任者と監査責任者は、JIS Q 15001の規格上、役員以外の一般社員でも選任可能です。ただし、全社への指揮権限や監査の独立性が実質的に担保されているかが審査の焦点となります。選任の条件や、一般社員が務める際の注意点、権限規定の整備方法について詳しく解説します。
社長が保有する個人情報の管理方法は、部門と同様の扱いです。社長個人が管理台帳上の対象となるため、部門としてではなく「社長」として保有情報を登録し、把握する必要があります。PマークやISMS運用における個人情報管理台帳の適切な記載ルールを詳しく解説します。
Pマーク取得に向けた運用開始から内部監査までの期間は、20日〜25日後が一般的です。規程周知後のPMS運用を最低1ヶ月継続し、PDCAサイクルを一周させることが申請の条件となります。最短取得を目指す場合のスケジュール管理と、内部監査実施のタイミングを解説します。
AWSやGoogle Workspace等のクラウドサービスは、Pマーク制度上の「委託先」に該当します。個別契約が困難な大手サービスでの管理方法は、締結不可の記録保持と自社台帳による評価が有効です。具体的な対応手順と実務上のポイントを解説します。
個人デスクで個人情報を保管する際は、内部犯行防止のため施錠管理が必須です。Pマーク審査では、事務所全体のセキュリティに関わらず、担当者レベルのアクセス制限と施錠が求められます。業務委託の定義や廃棄記録の重要性など、実務に直結するQ&Aで解説します。
社内行事の写真撮影は、特定の個人を識別できる場合「個人情報」に該当します。取得時には利用目的の明示や公表が必要です。Pマーク(プライバシーマーク)運用における書面同意の必要性や、社報・HP掲載時の注意点を詳しく解説します。適切な取り扱い手順を確認しましょう。
ASP・SaaSの情報セキュリティ対策ガイドラインとは、事業者が実施すべき対策をまとめた実戦的な指針です。ISO27001等の汎用規格ではカバーしにくいASP特有のリスクアセスメントや具体的な対策を解説。PマークやISMSの現地審査対策、信頼性向上に直結する必読資料です。
社員が私的に保有する友人や恋人の連絡先は、原則として「事業の用に供する」情報ではないため、JIS Q 15001(プライバシーマーク)の保護対象に含める必要はありません。ただし、社用PCや携帯への保管を許可している場合は管理責任が生じる可能性があるため、社内規定での明確な切り分けが重要です。
